genutzt werden können. Die Software verbindet zudem die Themen Informationssicherheit und Datenschutz, um eine umfassende Sicherheits lösung zu bieten. Dadurch wird der Aufbau eines wirksamenundflexiblenISMSfürUnternehmen erleichtert. Das Management von Informationssicherheit ist eine wichtige Führungsaufgabe. Die Auswahl ei nes bestimmten Standards hängt von verschie denen Faktoren ab, wie Skalierbarkeit und ver fügbare Ressourcen im Unternehmen. Die Größe allein ist nicht entscheidend, sondern vielmehr, wie viele Ressourcen für die Implementierung und Aufrechterhaltung des Informationssicher heitssystems benötigt werden, die Berücksichti gung relevanter Lieferanten in der ITLeistungs erbringungskette und die Risiken des Betriebs eigener oder fremder Infrastrukturen. CISIS12 erfüllt als eigenständiger Standard die Anforderungen für die ISMSEinführung, aber es kann auch mit anderen relevanten Standards wie ISO, Grundschutz, Automotive, kritische In frastrukturen und Datenschutz kombiniert wer den. Es wurde speziell für die Anforderungen der Wirtschaft und des öffentlichen Dienstes entwi ckeltundkanninRichtungBSI-Kommunalprofil erweitert werden. Das Tool M24S bietet ein leistungsfähiges und hochverfügbares System in einem deutschen Rechenzentrum als Clouddienstleistung. Es wächst mit dem ISMS mit und unterstützt un terschiedliche Branchen mit verschiedenen Ma nagementsystemen, wie CISIS12 und BSIKom munalprofil.DabeibleibtdieDatensouveränität bei der Organisation, da sensible Daten nicht zwingend in der Cloud gespeichert werden. ISMSNormen haben ähnliche Ziele, aber CISIS12 geht einen anderen Weg. Durch seine offene Ar chitektur können verschiedene interne und ex terne Interessen erfüllt werden. Das Vorgehens modell von CISIS12 ermöglicht die Umsetzung der CISIS12Anforderungen sowie anderer Nor men, entweder separat oder in Kombination. Es kann auch inhaltlich verwandte Anforderungen oder Standards wie Datenschutz in den Prozess einbeziehen, unterstützt durch das empfohlene Tool M24S. CISIS12 verzeichnet ein starkes Wachstum und eine hohe Nachfrage mit über 300 ausgege benenZertifikaten.EswirdvonIndustrie-und Beratungsunternehmen sowie dem öffentli chen Sektor genutzt und hat auch Interesse von weiterenZertifizierungsgesellschaftengeweckt. Die Verbreitung erstreckt sich von Nord nach Süd und West nach Ost in Deutschland und den benachbarten DACHRegionen. Die strukturierte Herangehensweise von CISIS12 hat sich als er folgreich und nachhaltig erwiesen. n CISIS12 ist darauf ausgerichtet, Organisationen anzusprechen, für die BSI oder ISO 27001 zu umfassend, zu aufwendig oder zu abstrakt sind, oder deren Einstiegshürde zu hoch ist. Darüber hinaus kann CISIS12 für Organisationen nützlich sein,diebranchenspezifischeSicherheitsstan dards wie den B3S Krankenhaus, den Kommu nalkatalog des BSI oder den IKFZKatalog des KBA einsetzen müssen. Es bietet auch die Mög lichkeit einer kontinuierlichen Weiterentwick lung des ISMS in erweiterten Ausrichtungen. FAZIT, EMPFEHLUNG UND AUSBLICK CISIS12 hebt sich von anderen Standards ab, da es nicht nur einen festen Katalog an Maßnah men bietet, sondern den Anwendern ermöglicht, professionell und schrittweise ein ISMS einzu führen, auch ohne spezielles Projektmanage mentKnowhow oder externe Beratung. Die schrittweise Umsetzung erleichtert die Erstellung von Konzepten und die Umsetzung von techni schen und organisatorischen Maßnahmen. Literatur [1] P. Weissmann, ‘Die neue EU NIS 2 Direktive für Cyber Security in KRITIS’, 2023. https://www.openkritis.de/it-sicherheitsgesetz/ eu-nis-2-direktive-kritis.html (accessed May 09, 2023). [2] P. Eckhardt and A. Kotovskaia, ‘The EU’s cybersecurity framework: the interplay between the Cyber Resilience Act and the NIS 2 Directive’, Int. Cybersecurity Law Rev., vol. 4, no. 2, pp. 147–164, Jun. 2023, doi: 10.1365/s43439-023-00084-z. [3] F. Moses, K. Sandkuhl, and T. Kemmerich, ‘Empirical Study on the State of Practice of Information Security Management in Local Government’, in Human Centred Intelligent Systems, A. Zimmermann, R. J. Howlett, and L. C. Jain, Eds., in Smart Innovation, Systems and Technologies. Singapore: Springer Nature, 2022, pp. 13–25. doi: 10.1007/978-981-19-3455-1_2. [4] F. Moses, K. Sandkuhl, and T. Kemmerich, ‘Empirical Study on the State of Practice of Information Securty Maturity Management in Local Government.’, in Human Centred Intelligent Systems 2022 - Proceeding of the 15th International Conference on Human Centred Intelligent Systems (KES-HCIS-22). Smart Innovation, Systems and Technologies., A. Zimmermann, Ed., Springer. Accepted for publication. To appear June 2022., 2022. [5] R. Tatiara, A. N. Fajar, B. Siregar, and W. Gunawan, ‘Analysis of factors that inhibiting implementation of Information Security Management System (ISMS) based on ISO 27001’, J. Phys. Conf. Ser., vol. 978, no. 1, p. 012039, Mar. 2018, doi: 10.1088/1742- 6596/978/1/012039. [6] P. Choejey, D. Murray, and C. Che Fung, ‘Exploring Critical Success Factors for Cybersecurity in Bhutan’s Government Organizations’, in Computer Science & Information Technology ( CS & IT ), Academy & Industry Research Collaboration Center (AIRCC), Dec. 2016, pp. 49–61. doi: 10.5121/csit.2016.61505. TITEL | CISIS12 [7] V. Susukailo, I. Opirsky, and O. Yaremko, ‘Methodology of ISMS Establishment Against Modern Cybersecurity Threats’, in Future Intent-Based Networking, M. Klymash, M. Beshley, and A. Luntovskyy, Eds., in Lecture Notes in Electrical Engineering. Cham: Springer International Publishing, 2022, pp. 257–271. doi: 10.1007/978-3-030-92435-5_15. [8] J. H. Awan, ‘Security strategies to overcome cyber measures, factors and berriers’, Eng. Sci. Technol. Int. Res. J., vol. Vol.1, No. 1, Apr. 2017. [9] A. CHODAKOWSKA, S. KAŃDUŁA, and J. PRZYBYLSKA, ‘Cybersecurity in the Local Government Sector in Poland: More Work Needs to be Done’, Lex Localis - J. Local Self-Gov., vol. Vol. 20, No. 1, Jan. 2022. [10] F. Kitsios, E. Chatzidimitriou, and M. Kamariotou, ‘Developing a Risk Analysis Strategy Framework for Impact Assessment in Information Security Management Systems: A Case Study in IT Consulting Industry’, Sustainability, vol. 14, no. 3, Art. no. 3, Jan. 2022, doi: 10.3390/su14031269. [11] N. Pohlmann, ‘Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung’, in Digitalisierung im Spannungsfeld von Politik, Wirtschaft, Wissenschaft und Recht, C. Bär, T. Grädler, and R. Mayr, Eds., Berlin: Springer Gabler, 2018. [12] N. Pohlmann, K. M. Caramancion, I. Tatar, Y. Li, M. Barati, and T. Merz, ‘The Organizational Cybersecurity Success Factors: An Exhaustive Literature Review’, in Advances in Security, Networks, and Internet of Things, K. Daimi, H. R. Arabnia, L. Deligiannidis, M.-S. Hwang, and F. G. Tinetti, Eds., in Transactions on Computational Science and Computational Intelligence. Cham: Springer International Publishing, 2021, pp. 377–395. doi: 10.1007/978-3-030-71017-0_27. [13] B. Preis and L. Susskind, ‘Municipal Cybersecurity: More Work Needs to be Done’, Urban Aff. Rev., vol. 58, no. 2, pp. 614–629, Mar. 2022, doi: 10.1177/1078087420973760. FRANK MOSES ist Forscher am Lehrstuhl für Wirt schaftsinformatik von Prof. Dr. Kurt Sandkuhl an der Universität Rostock. Er hält neben seinem Diplom als In for matiker noch einen universitären Ab schluss in Wirt- schaftswissenschaften. THOMAS REHBOHM, Dipl.-Ing. (FH), ist Forscher am Lehr- stuhl für Wirtschaftsinformatik von Prof. Dr. Kurt Sandkuhl an der Univer- sität Rostock. Er ist ausgebildeter Kommunikationselektroniker und studierte anschließend Elektrotechnik mit der Fachrichtung Informations- technik an der Hochschule Bremen. IT-SICHERHEIT_4/2023 19